Blog #allaboutpayment

Sicherheit bei Kontaktlos-Zahlungen

Bei Kontaktlos-Zahlungen gibt’s kein „Dazwischenfunken“

30.11.2023

Artikel teilen
Autor:in
Weitere Themen

Seit Einführung von kontaktlosen NFC-Zahlungen in Deutschland hält sich hartnäckig die Meinung, die Funkverbindung zwischen Karte und Kassenterminal biete Kriminellen einen leichten Angriffspunkt für Betrug.

Mehr Fiktion als Realität beim NFC-Betrug

In regelmäßigen Abständen wird diese „Sau durchs mediale Dorf“ getrieben, gerne mal im Sommerloch oder wenn sonst kein anderes „Verbraucherschutz“-Thema in Sicht ist. Solche Zeitungsartikel oder Magazin-Beiträge suggerieren, es wäre ein realistisches Betrugsszenario, unbemerkt Geld von NFC-fähigen Karten ohne Wissen und Zutun des Karteninhabers „abzusaugen“. 

 

Anfang November (09.11.) hat BILD Plus, der online-Ableger des Boulevard-Blatts, das Thema wieder mal aus der Mottenkiste geholt mit der reißerischen Headline: „Die miese Abzocke beim kontaktlosen Bezahlen“. Da heißt es:

„Wer mit seiner Girocard bezahlt, macht das in der Regel kontaktlos (…) Doch die bequeme Technik bietet Hackern Angriffsmöglichkeiten. Und der Diebstahl ist erstaunlich einfach (…) Beim kontaktlosen Bezahlen werden Zahlungsdaten per NFC-Funk übertragen. Diese Daten können aber nicht nur vom Kassensystem, sondern auch mit jedem anderen NFC-Scanner von den Kredit- und EC-Karten ausgelesen werden.“

Zahlungsverkehrs-Experten winken hier jedoch schon seit Jahren nur müde ab. Sie halten das Risiko, dass Übeltäter bei der Kontaktlos-Zahlung „dazwischenfunken“, für sehr gering. Das Szenario sei im Alltag aus mehreren Gründen unrealistisch.

Klar: Ein handelsübliches Kartelesegerät kann jedermann heute im Internet mit relativ wenig Geld kaufen. Dieser Leser könnte aber Daten beim Bezahlvorgang nur dann empfangen, wenn er genau in die maximal vier Zentimeter schmale Funklücke zwischen Karte (oder Smartphone) und Kassenterminal gehalten würde – auffälliger geht’s wohl kaum, zum Beispiel an der Supermarkt-Kasse vor zahlreichen Zeug:innen (zahlende Person, Kassenpersonal, Menschen in der Warteschlange). 

 

Aber selbst, wenn es einem Kriminellen irgendwie gelingen sollte, Geld aus dem Funkstrom einer NFC-Zahlung „abzusaugen“, hätte er ja zunächst nur Bits und Bytes auf seinem Lesergerät. Um daraus echte Münzen und Scheine zu machen, müsste der Übeltäter das virtuelle Geld auf irgendein Konto transferieren. 

Klar: Ein handelsübliches Kartelesegerät kann jedermann heute im Internet mit relativ wenig Geld kaufen. Dieser Leser könnte aber Daten beim Bezahlvorgang nur dann empfangen, wenn er genau in die maximal vier Zentimeter schmale Funklücke zwischen Karte (oder Smartphone) und Kassenterminal gehalten würde – auffälliger geht’s wohl kaum, zum Beispiel an der Supermarkt-Kasse vor zahlreichen Zeug:innen (zahlende Person, Kassenpersonal, Menschen in der Warteschlange). 

 

Aber selbst, wenn es einem Kriminellen irgendwie gelingen sollte, Geld aus dem Funkstrom einer NFC-Zahlung „abzusaugen“, hätte er ja zunächst nur Bits und Bytes auf seinem Lesergerät. Um daraus echte Münzen und Scheine zu machen, müsste der Übeltäter das virtuelle Geld auf irgendein Konto transferieren. 

Kein Schafspelz für den Wolf im girocard-System

Für Privatpersonen war es das an dieser Stelle schon. Sie können nicht einfach ein solches Kartenlesegerät kaufen, um damit anonym unberechtigte Zahlungen auszulösen. Sie müssten sich persönlich registrieren, sich mittels Personalausweises legitimieren und ein Referenzkonto zur Buchung der Transaktionen hinterlegen.

Ein Betrüger könnte auch auf die Idee kommen, sich als „echter“ Händler im geschlossenen Kreis des girocard-Systems auszugeben, um das abgesaugte Geld von seinem Lesegerät auf sein „Händlerkonto“ zu übertragen. Aber auch dann müsste er seine Anonymität komplett aufgeben. 

Ein Betrüger könnte auch auf die Idee kommen, sich als „echter“ Händler im geschlossenen Kreis des girocard-Systems auszugeben, um das abgesaugte Geld von seinem Lesegerät auf sein „Händlerkonto“ zu übertragen. Aber auch dann müsste er seine Anonymität komplett aufgeben. 

Notwendige Voraussetzung für die Händlerregistrierung ist nämlich immer eine Bankverbindung bei einem von der BaFin beaufsichtigten Kreditinstitut. Für die Händlerkonto-Eröffnung gelten strenge Vorschriften nach dem Geldwäschegesetz, die unter anderem eine eindeutige Identifizierung des Kontoinhabers bereits zur Kontoeröffnung fordern. Wollte der Kriminelle sein Kartenlesegerät als „girocard-Terminal“ tarnen, um damit „echte“ Transaktionen durchführen zu können, ginge das immer nur über einen von der Deutschen Kreditwirtschaft (DK) zugelassenen Netzbetreiber, der für das Terminal ebenfalls eine Zulassung erwirken muss.

 

Eine eindeutige Identifizierung des Händlers – aka „der Betrüger“ - und seiner Terminals ist somit jederzeit möglich. Da könnten die zwielichtigen Gesellen auch gleich ihren Opfern und der Polizei ihre Visitenkarte überreichen.

„Risiken, Kosten, Hindernisse und Mühe beim Datenklau sind für die Betrüger zu hoch im Vergleich zu dem niedrigen möglichen Ertrag. Der Betrug mit NFC-fähigen Bankkarten ist somit kein effizientes Geschäftsmodell“

 

sagte Kriminaloberrat Harald Schmidt, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes, schon Ende 2019 in einem Interview mit der Frankfurter Allgemeinen Sonntagszeitung

Dazu passt, dass in all den Jahren kein einziger Fall von digitalem „Geldabsaugen“ registriert worden ist, weder von der Polizei noch zum Beispiel vom Sicherheitsmanagement der EURO Kartensysteme. Auch in den Medien, die vor dem „Kontaktlos-Klau“ warnen, sind erhellenderweise in all den Jahren noch keine Berichte über massenhafte Betrugswellen beim kontaktlosen Bezahlen erschienen.

Seit Einführung von kontaktlosen NFC-Zahlungen in Deutschland hält sich hartnäckig die Meinung, die Funkverbindung zwischen Karte und Kassenterminal biete Kriminellen einen leichten Angriffspunkt für Betrug.

Mehr Fiktion als Realität beim NFC-Betrug

In regelmäßigen Abständen wird diese „Sau durchs mediale Dorf“ getrieben, gerne mal im Sommerloch oder wenn sonst kein anderes „Verbraucherschutz“-Thema in Sicht ist. Solche Zeitungsartikel oder Magazin-Beiträge suggerieren, es wäre ein realistisches Betrugsszenario, unbemerkt Geld von NFC-fähigen Karten ohne Wissen und Zutun des Karteninhabers „abzusaugen“. 

 

Anfang November (09.11.) hat BILD Plus, der online-Ableger des Boulevard-Blatts, das Thema wieder mal aus der Mottenkiste geholt mit der reißerischen Headline: „Die miese Abzocke beim kontaktlosen Bezahlen“. Da heißt es:

„Wer mit seiner Girocard bezahlt, macht das in der Regel kontaktlos (…) Doch die bequeme Technik bietet Hackern Angriffsmöglichkeiten. Und der Diebstahl ist erstaunlich einfach (…) Beim kontaktlosen Bezahlen werden Zahlungsdaten per NFC-Funk übertragen. Diese Daten können aber nicht nur vom Kassensystem, sondern auch mit jedem anderen NFC-Scanner von den Kredit- und EC-Karten ausgelesen werden.“

Zahlungsverkehrs-Experten winken hier jedoch schon seit Jahren nur müde ab. Sie halten das Risiko, dass Übeltäter bei der Kontaktlos-Zahlung „dazwischenfunken“, für sehr gering. Das Szenario sei im Alltag aus mehreren Gründen unrealistisch.

Klar: Ein handelsübliches Kartelesegerät kann jedermann heute im Internet mit relativ wenig Geld kaufen. Dieser Leser könnte aber Daten beim Bezahlvorgang nur dann empfangen, wenn er genau in die maximal vier Zentimeter schmale Funklücke zwischen Karte (oder Smartphone) und Kassenterminal gehalten würde – auffälliger geht’s wohl kaum, zum Beispiel an der Supermarkt-Kasse vor zahlreichen Zeug:innen (zahlende Person, Kassenpersonal, Menschen in der Warteschlange). 

 

Aber selbst, wenn es einem Kriminellen irgendwie gelingen sollte, Geld aus dem Funkstrom einer NFC-Zahlung „abzusaugen“, hätte er ja zunächst nur Bits und Bytes auf seinem Lesergerät. Um daraus echte Münzen und Scheine zu machen, müsste der Übeltäter das virtuelle Geld auf irgendein Konto transferieren. 

Klar: Ein handelsübliches Kartelesegerät kann jedermann heute im Internet mit relativ wenig Geld kaufen. Dieser Leser könnte aber Daten beim Bezahlvorgang nur dann empfangen, wenn er genau in die maximal vier Zentimeter schmale Funklücke zwischen Karte (oder Smartphone) und Kassenterminal gehalten würde – auffälliger geht’s wohl kaum, zum Beispiel an der Supermarkt-Kasse vor zahlreichen Zeug:innen (zahlende Person, Kassenpersonal, Menschen in der Warteschlange). 

 

Aber selbst, wenn es einem Kriminellen irgendwie gelingen sollte, Geld aus dem Funkstrom einer NFC-Zahlung „abzusaugen“, hätte er ja zunächst nur Bits und Bytes auf seinem Lesergerät. Um daraus echte Münzen und Scheine zu machen, müsste der Übeltäter das virtuelle Geld auf irgendein Konto transferieren. 

Kein Schafspelz für den Wolf im girocard-System

Für Privatpersonen war es das an dieser Stelle schon. Sie können nicht einfach ein solches Kartenlesegerät kaufen, um damit anonym unberechtigte Zahlungen auszulösen. Sie müssten sich persönlich registrieren, sich mittels Personalausweises legitimieren und ein Referenzkonto zur Buchung der Transaktionen hinterlegen.

Ein Betrüger könnte auch auf die Idee kommen, sich als „echter“ Händler im geschlossenen Kreis des girocard-Systems auszugeben, um das abgesaugte Geld von seinem Lesegerät auf sein „Händlerkonto“ zu übertragen. Aber auch dann müsste er seine Anonymität komplett aufgeben. 

Ein Betrüger könnte auch auf die Idee kommen, sich als „echter“ Händler im geschlossenen Kreis des girocard-Systems auszugeben, um das abgesaugte Geld von seinem Lesegerät auf sein „Händlerkonto“ zu übertragen. Aber auch dann müsste er seine Anonymität komplett aufgeben. 

Notwendige Voraussetzung für die Händlerregistrierung ist nämlich immer eine Bankverbindung bei einem von der BaFin beaufsichtigten Kreditinstitut. Für die Händlerkonto-Eröffnung gelten strenge Vorschriften nach dem Geldwäschegesetz, die unter anderem eine eindeutige Identifizierung des Kontoinhabers bereits zur Kontoeröffnung fordern. Wollte der Kriminelle sein Kartenlesegerät als „girocard-Terminal“ tarnen, um damit „echte“ Transaktionen durchführen zu können, ginge das immer nur über einen von der Deutschen Kreditwirtschaft (DK) zugelassenen Netzbetreiber, der für das Terminal ebenfalls eine Zulassung erwirken muss.

 

Eine eindeutige Identifizierung des Händlers – aka „der Betrüger“ - und seiner Terminals ist somit jederzeit möglich. Da könnten die zwielichtigen Gesellen auch gleich ihren Opfern und der Polizei ihre Visitenkarte überreichen.

„Risiken, Kosten, Hindernisse und Mühe beim Datenklau sind für die Betrüger zu hoch im Vergleich zu dem niedrigen möglichen Ertrag. Der Betrug mit NFC-fähigen Bankkarten ist somit kein effizientes Geschäftsmodell“

 

sagte Kriminaloberrat Harald Schmidt, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes, schon Ende 2019 in einem Interview mit der Frankfurter Allgemeinen Sonntagszeitung

Dazu passt, dass in all den Jahren kein einziger Fall von digitalem „Geldabsaugen“ registriert worden ist, weder von der Polizei noch zum Beispiel vom Sicherheitsmanagement der EURO Kartensysteme. Auch in den Medien, die vor dem „Kontaktlos-Klau“ warnen, sind erhellenderweise in all den Jahren noch keine Berichte über massenhafte Betrugswellen beim kontaktlosen Bezahlen erschienen.

Artikel teilen

Autor

Autor

Weitere Themen entdecken & mehr erfahren

Wir sind Top Company 2026!

kununu, die führende Arbeitgeber Bewertungsplattform, hat die S-Payment GmbH als Top Company 2026 ausgezeichnet. Die Ehrung basiert auf den unabhängigen Bewertungen unserer Mitarbeitenden auf kununu und würdigt die hohe Zufriedenheit, das vertrauensvolle Miteinander und die wertschätzende Unternehmenskultur bei S-Payment.

Wir sind Top Company 2026!

kununu, die führende Arbeitgeber Bewertungsplattform, hat die S-Payment GmbH als Top Company 2026 ausgezeichnet. Die Ehrung basiert auf den unabhängigen Bewertungen unserer Mitarbeitenden auf kununu und würdigt die hohe Zufriedenheit, das vertrauensvolle Miteinander und die wertschätzende Unternehmenskultur bei S-Payment.

Wir sind Top Company 2026!

kununu, die führende Arbeitgeber Bewertungsplattform, hat die S-Payment GmbH als Top Company 2026 ausgezeichnet. Die Ehrung basiert auf den unabhängigen Bewertungen unserer Mitarbeitenden auf kununu und würdigt die hohe Zufriedenheit, das vertrauensvolle Miteinander und die wertschätzende Unternehmenskultur bei S-Payment.

Wir sind Top Company 2026!

kununu, die führende Arbeitgeber Bewertungsplattform, hat die S-Payment GmbH als Top Company 2026 ausgezeichnet. Die Ehrung basiert auf den unabhängigen Bewertungen unserer Mitarbeitenden auf kununu und würdigt die hohe Zufriedenheit, das vertrauensvolle Miteinander und die wertschätzende Unternehmenskultur bei S-Payment.

Unternehmen

Newsroom

Karriere

  • Jobs bei S-Payment

  • Jobs in der DSV-Gruppe

  • #bepayment

Teil der DSV-Gruppe

  • DSV-Gruppe

  • S-Management Services

  • S-Communication Services

  • S-Public Services

Social Media

Unternehmen

Newsroom

Karriere

  • Jobs bei S-Payment

  • Jobs in der DSV-Gruppe

  • #bepayment

Teil der DSV-Gruppe

  • DSV-Gruppe

  • S-Management Services

  • S-Communication Services

  • S-Public Services
Impressum
Datenschutz
Datenschutz Workday
AGB
Meldestelle
Payment Cockpit
© S-Payment GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der S-Payment GmbH